Ich verwendete immer comodo/Sectigo, habe dann vor 6 Monaten zu Certum gewechselt. Wahrscheinlich ist es für dein EV oder OV nicht wesentlich wo du kaufst. Ich bezahle momentan mit meinem Standard Zertifikat ganz toll drauf... selbst nach 6 Monaten warnt microsoft SmartScreen vor dem Download. File Submission oder "Als sicher melden" via Edge nützen nix. Von microsoft 0 Feedback. - Vorher beim Wechsel von sectigo zu sectigo verschwand die Warnung meistens nach wenigen Tagen (bei einem Wechsel wurde sogar gar nie gewarnt).

Zum Signieren via USB. Ich verwende als Installer InstallAware. Ich kann dort einen Hook setzen, welcher von InstallAware immer dann ausgeführt wird, wenn ein File signiert wird. - Da etwa 10 Mal signiert wird und ich nicht jedes Mal den PIN eingeben will, habe ich ein Delphiprogramm X geschrieben. Ich gebe im InstallAware Hook Feld diese App X an, welche das Tool zum Signieren aufruft => PIN Form wird angezeigt, X sucht nach dem PIN Fenster und gibt den PIN und ENTER (Bastellösung ) ein. Auf diese Weise läuft's bei mir wie früher ohne USB Token. (Diverse Zertifikatsanbieter geben eine solche App X gleich mit.)

(Anstatt mit USB Token in der Cloud signieren lassen ist für meinen Fall nix, da InstallAware während dem Buildprozess Files erzeugt und signiert.)